Правила IPFW. Пажалуйста помогите.

[Sergey_A]

Друзья прошу помощи.
Ситуация следующая. Все настроенно все подстроенно.
В фаерволе прописанны слудующие правила.
ipfw='/sbin/ipfw -q'
${ipfw} -f flush
${ipfw} add divert natd all from any to any via re0
${ipfw} add allow all from any to any

Все работает отлично. Но это неправильно 1 правилом разрешать все. Посколько атак и всего добра будет много.

Прошу скажите какие правила надо вписать чтобы заработало вот так.
Т.е Nat ссылался бы на таблицу и интернет был бы только у этих людей.
Пажалуйста дайте рабочий пример кто уже сделал. Какие правила вписать там 53 порт или ещё что.
Только пажалуйста не говорите идти читать man изучаю его. Кое что получается. Но не могу достичь результата такого. Который привел выше


итак:
1) в правилах файрвола создаем строки
ipfw add ip from table\(1\) to any
ipfw add ip from any to table\(1\)

в UTM правила файрвол ставим

Включение: table 1 add UIP/UBITS
Выключение: table 1 del UIP/UBITS

[MKC]

У меня это выполняется так ( код скрипта, поэтому для чистого sh придёцца выбросить exec(" и ");, лень править))):
-- очищаю всё при старте
exec("ipfw -f flush");
exec("ipfw -f pipe flush");
exec("ipfw -f queue flush");
exec("ipfw -f table all flush");
-- ну это понятно)
exec("ipfw disable one_pass");
-- добавляю нат с реальником
exec("ipfw nat 100 config ip 109.197.112.2 log");
-- создаю трубу
exec("ipfw pipe 100 config bw 8192Kbit/s mask dst-ip 0xffffffff");
-- таблички для труб
exec("ipfw add pipe 100 ip from table\(100\) to any out");
exec("ipfw add pipe 100 ip from any to table\(100\) in");
-- ну и сам юзер ( добавление в табличку):
exec("ipfw table $table_id add $user_ip/32");
-- и удаление, когда надо:
exec("ipfw table $table_id delete $user_ip/32");

.... где-то так, если ничего не забыл.
p.s. для работы данной схемы надо собрать ядро с поддержкой ната ядерного ipfirewall_nat

[Sergey_A]

Спасибо, что ответил, а можно по подробнее. Если я это делаю через радиус. И мне надо чтобы абоненты которые во внутренние сети занесены в таблицу ходили. Пажалуйста можите дать целый список правил. Эксперементирую 4 день. Ни как добиться не могу.
Именно пажалуйста там где ДНС если нужно в скрипте фаервола прписывать, прохождения пакетов.

1)Если по понятнее. То требуется дать доступ абонентам которые именно будут содержаться в таблице, остальных просто отбросить.
2)Пажалуйста друзья дайте у кого работает, вот список правил по которым пакет путешествует, там общения между собой, поддержка ната, открытия днс. Вот в этом роде.

Спасибо всем кто поможет

[Sergey_A]

Друзья пажалуйста не проходите мимо. Дайте знать как сделать.

[Sergey_A]

Друзья! Подскажите пажалуйста уже в понедельник запускать.

[edison]

Стукнись в эту аську
48905 - 9999

[Sergey_A]

Спасибо огромное, что помог. Нету слов спасибо ещё раз все заработало четко. Как надо. И как хотелось. Спасибо ещё раз.

[starchik]

отблагодари его лучше ящиком пива ИМХО лучше чем спасибо